攻击电脑的病毒“狙击波”

攻击电脑的病毒“狙击波” (Worm.Zotob.A)。
一、症状：该病毒利用了8月9日微软发布的即插即用中的漏洞（MS05-039），病毒传播者通过病毒会向未感染的机器发送漏洞溢出数据包，如果攻击失败，受攻击的机器会发生崩溃，出现倒计时对话框，然后系统开始频繁重启。此外，该病毒还可以通过IRC接受黑客命令，使被感染计算机被黑客完全控制，并且该病毒还会禁止用户更新安全软件。
该病毒呈现以下特征：
　　1. 病毒将自身复制到以下目录：%system%\botzor.exe
　　2. 在注册表中添加如下键值：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
　　"WINDOWS SYSTEM" = "botzor.exe"
　　——（以在每次启动时运行）
　　3. 修改以下服务
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
　　"Start" = 0x00000004
　　——（以阻止WinXP自带的防火墙运行）
　　4.通过MS05-039进行攻击
　　// -=PNP445=- //transfer complete to ip:
　　5.病毒会创建以下互斥量,以保证系统只一个进程运行
　　B-O-T-Z-O-R
　　6.病毒文件中含有以下作者信息
　　Botzor2005 By DiablO
　　7.病毒会链接
　　diabl0.turk*****s.net网站的IRC频道,以接受病毒传播者的控制.
　　8. 修改Host文件，屏蔽大量国内外反病毒和安全厂商的网址，并显示：MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!!

二、清除蠕虫的相关操作
遭受感染后，应先断开网络，再进行蠕虫的清除。手工清除该蠕虫的相关操作如下：
1、注册表的恢复
1)打开注册表编辑器
2)在左边的面板中打开
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run，在右边的面板中删除蠕虫文件"botzor.exe"的键值
3)在左边的面板中打开HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>RunService，在右边的面板中删除蠕虫文件"botzor.exe"的键值

2、删除蠕虫释放的文件
分别在%system%下搜索botzor.exe、2pac.txt和haha.exe文件并将之删除。（其中，％System％是Windows的系统文件夹，通常是 C:\Windows\System、C:\WINNT\System32或C:\Windows\System32）

3、恢复微软自带防火墙的运行
在左边的面板中打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
在右边的面板中找到Start并且将其键值改为0x00000003

4、删除蠕虫在Hosts文件中屏蔽的网站。

5、运行杀毒软件，对系统进行全面的病毒查杀。
一些专杀工具
诺顿狙击波专杀工具
本地下载地址：http://file2.mydrivers.com/tools/others/nd.zip
赛门铁克公司发布的狙击波病毒专杀工具。这个是8月18日刚发布的1.40版，可清除“狙击波”病毒及其变种：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F、W32.Zotob.G。

瑞星狙击波专杀工具
本地下载地址：http://file2.mydrivers.com/tools/others/rx.zip
瑞星公司发布的狙击波病毒专杀工具。这个是8月17日刚发布的1.0版，可清除“狙击波”病毒及其变种：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C@mm、W32.Zotob.D、W32.Zotob.E、W32.Zotob.F。

江民狙击波专杀工具
本地下载地址：http://file2.mydrivers.com/tools/others/jm.zip
江民公司发布的狙击波病毒专杀工具。这个是8月17日刚发布的1.0版，可清除“狙击波”病毒及其变种：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。

金山狙击波专杀工具
本地下载地址：http://file2.mydrivers.com/tools/others/js.zip
金山公司发布的狙击波病毒专杀工具。这个是8月16日刚发布的3.0版，可清除“狙击波”病毒及其变种：W32.Zotob.A、W32.Zotob.B、W32.Zotob.C。

6、安装微软MS05-039公告的补丁

http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx

三、防护建议

1、建议用户立即修补漏洞，链接如下

http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx

2、在个人防火墙上添加新规则，阻止TCP端口139和445；
3、加强管理，专网应与外网严格隔离，防止不必要的感染。
4、遭受感染后，应先断开网络，再进行蠕虫的清除。
5、关注蠕虫出现的变种，及时升级杀毒软件，启动实时监控。